IGMP snooping
Las conexiones multidifusión son una excelente manera de enviar paquetes de datos en redes IP a muchos dispositivos receptores diferentes sin necesidad de conectar con ellos y entregárselo a cada uno por separado. El emisor del paquete distribuye la tarea a los diferentes nodos de las subredes que intervienen. De ese modo, ahorra una serie de recursos muy valiosos. Las aplicaciones en tiempo real en internet que utilizan muchos usuarios son las que, sobre todo, se benefician de este tipo de conexiones multipunto que se crean con ayuda de grupos de multidifusión especiales.
Una gran parte de la organización de estos grupos la asume el protocolo IGMP, fundamental para una comunicación multidifusión IPv4 impecable entre emisores, enrutadores y receptores. El tráfico multidifusión también puede filtrarse mediante mensajes IGMP para aliviar cada una de las redes de destino. En este caso, también hablamos de IGMP snooping.
IGMP son las siglas de “Internet Group Management Protocol”, es decir, el protocolo IPv4 para la gestión de grupos multidifusión. La contrapartida de las conexiones IPv6 es el protocolo “Multicast Listener Discovery” (MLD).
¿Qué es el IGMP snooping?
En su camino hacia el servidor de destino, los paquetes multidifusión suelen atravesar varias estaciones. Los enrutadores utilizan el protocolo Protocol Independent Multicast (PIM) para calcular la ruta óptima y así reenviar el flujo de datos de la forma más eficiente posible. Para los conmutadores de red o enrutadores multifunción de los hogares particulares, sin embargo, la tarea de transferir paquetes multidifusión es más difícil. Al fracasar el intento de asignar los paquetes a partir de la dirección MAC tal como se hace habitualmente (solo funciona en las conexiones unidifusión), los dispositivos reenvían los paquetes entrantes, por falta de alternativas, a todos los dispositivos disponibles de cada subred.
En este punto entra en juego el IGMP snooping (a veces también llamado “snooping multidifusión”). Este método, que traducido libremente significa algo así como “fisgoneo IGMP” hace honor a su nombre y espía todo el tráfico IGMP que se intercambia entre los enrutadores multidifusión y los servidores. Los conmutadores o enrutadores que entienden el IGMP snooping y lo han activado son capaces de supervisar las actividades de multidifusión de cada uno de los participantes de la red. En concreto, esto significa que los dispositivos conocen cuándo un servidor se une a un grupo de multidifusión (“consulta multidifusión”) o lo deja (“mensaje de abandono”; a partir de IGMPv2). Basándose en esta información, en la tabla de direcciones MAC se puede introducir o eliminar una entrada para la interfaz de red vinculada con el servidor.
El IGMP snooping está especificado en el documento RFC 4541, aunque se trata de un texto meramente informativo debido al hecho de que hay dos organismos igualmente responsables de la normalización de esta tecnología: el IEEE (Instituto de Ingeniería Eléctrica y Electrónica), que estandariza los conmutadores Ethernet, y el IETF (Grupo de Trabajo de Ingeniería de Internet), que, entre otras cosas, es responsable del estándar de multidifusión IP
¿Por qué y en qué casos merece la pena el IGMP snooping?
El Snooping multidifusión ayuda a conmutadores y enrutadores a que los flujos de datos multidifusión alcancen su objetivo u objetivos deseados de la forma más eficiente posible. El valor de este apoyo se hace evidente cuando falta un método de filtrado, así como en las transmisiones multipunto: los paquetes multidifusión entrantes se envían a todos los servidores de la red que alcanza el conmutador o enrutador. Especialmente en redes más grandes, este proceder conlleva un tráfico elevado innecesario que puede provocar, incluso, la sobrecarga de la red. Los cibercriminales pueden aprovechar la coyuntura para inundar a un servidor en particular o a toda la red con paquetes multidifusión para doblegarles como si de un clásico ataque DoS o DDoS se tratara.
Si se habilita el IGMP snooping, se reducen los problemas de congestión y se descartan los posibles ataques. Todos los servidores de la red reciben, únicamente, tráfico multidifusión para el que se han registrado con anterioridad en una consulta de grupo. El uso de la técnica de “escucha” merece la pena cuando se deba echar mano de aplicaciones que necesitan un gran ancho de banda. Algunos ejemplos de ello son los servicios de IPTV y otros servicios de streaming, así como las soluciones para conferencias web. Sin embargo, las redes con pocos participantes que no tengan apenas tráfico multidifusión disponible no se beneficiarán del proceso de filtrado. Incluso si el conmutador o enrutador ofrece la función de snooping multidifusión, esta debe desactivarse en este caso con el fin de evitar actividades de escucha innecesarias.